Se connecter / S'enregistrer
Votre question

Comment supprimer un virus trojan

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Août 2010 00:31:23

bonsoir j ai été infecté par un virus trojan, j ai fais un scan avec hijackthis et voila le resultat, apres je sais plus quoi faire merci de m aider.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:41, on 09/08/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SGPSA\ie3sh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Users\riade\AppData\Local\Temp\wmsdk64_32.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Antivir Solution Platinum\avsolution.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Users\riade\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Windows\system32\conime.exe
C:\Users\riade\AppData\Local\Temp\wscsvc32.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\riade\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y4HALE5W\HiJackThis[1].exe
C:\Windows\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fr&l=f...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.troner.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbShar.dll
R3 - URLSearchHook: SearchHelper Class - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - C:\Program Files\SGPSA\mtwb3sh.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbShar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: BrowserHelper Class - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - C:\Program Files\SGPSA\SearchAssistant.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbShar.dll
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [FBSSA] C:\Program Files\SGPSA\ie3sh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [nibvualc] C:\Users\riade\AppData\Local\nnygngwhv\slshsertssd.exe
O4 - HKCU\..\Run: [Mqibegefi] rundll32.exe "C:\Users\riade\AppData\Local\istina.dll",Startup
O4 - HKCU\..\Run: [wmsdk64_32.exe] C:\Users\riade\AppData\Local\Temp\wmsdk64_32.exe
O4 - HKCU\..\Run: [SolutionAV] C:\Program Files\Antivir Solution Platinum\avsolution.exe /tray
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Users\riade\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8378 bytes

Autres pages sur : supprimer virus trojan

9 Août 2010 01:02:56

Salut,




Infecté par un Rogue et par pas mal d'autres me*des ... du boulot ...




/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par faire ceci pour avoir un diagnostique plus précis du PC :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....




    ==============

    Fait moi donc parvenir ce rapport et je te donnerai la suite demain ... :sleep: 
    Contenus similaires
    9 Août 2010 13:41:34

    Hello,



    pas d'antivirus ! .... faut pas s'étonner ! ... on réglera cela une fois le PC clean ....



    commence par faire ceci dans l'ordre stp :



    1- protocole à suivre pour Windows Vista :

  • Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaine ...


    =========================

    2- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
    --> vas sur l'onglet " Affichage " .
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    3- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    C:\Program Files\Antivir Solution Platinum\avsolution.exe

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    C:\Users\riade\AppData\Local\nnygngwhv\slshsertssd.exe
    C:\Users\riade\AppData\Local\istina.dll


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
    9 Août 2010 14:17:50

    tiens voila les rapports:

    C:\Program Files\Antivir Solution Platinum\avsolution.exe

    Dernière mise à jour Résultat
    AhnLab-V3 2010.08.09.00 2010.08.09 -
    AntiVir 8.2.4.34 2010.08.09 -
    Antiy-AVL 2.0.3.7 2010.08.09 -
    Authentium 5.2.0.5 2010.08.09 -
    Avast 4.8.1351.0 2010.08.09 -
    Avast5 5.0.332.0 2010.08.09 -
    AVG 9.0.0.851 2010.08.09 -
    BitDefender 7.2 2010.08.09 -
    CAT-QuickHeal 11.00 2010.08.09 -
    ClamAV 0.96.0.3-git 2010.08.09 -
    Comodo 5694 2010.08.09 -
    DrWeb 5.0.2.03300 2010.08.09 MULDROP.Trojan
    Emsisoft 5.0.0.36 2010.08.09 -
    eSafe 7.0.17.0 2010.08.08 -
    eTrust-Vet 36.1.7777 2010.08.09 -
    F-Prot 4.6.1.107 2010.08.09 -
    F-Secure 9.0.15370.0 2010.08.09 -
    Fortinet 4.1.143.0 2010.08.09 -
    GData 21 2010.08.09 -
    Ikarus T3.1.1.84.0 2010.08.09 -
    Jiangmin 13.0.900 2010.08.07 -
    Kaspersky 7.0.0.125 2010.08.09 -
    McAfee 5.400.0.1158 2010.08.09 -
    McAfee-GW-Edition 2010.1 2010.08.09 Heuristic.BehavesLike.Win32.Downloader.H
    Microsoft 1.6004 2010.08.09 -
    NOD32 5351 2010.08.09 a variant of Win32/Adware.SpyProtector.T
    Norman 6.05.11 2010.08.08 -
    nProtect 2010-08-09.02 2010.08.09 -
    Panda 10.0.2.7 2010.08.08 -
    PCTools 7.0.3.5 2010.08.09 -
    Prevx 3.0 2010.08.09 -
    Rising 22.60.00.04 2010.08.09 -
    Sophos 4.56.0 2010.08.09 -
    Sunbelt 6704 2010.08.09 -
    SUPERAntiSpyware 4.40.0.1006 2010.08.09 -
    Symantec 20101.1.1.7 2010.08.09 -
    TheHacker 6.5.2.1.339 2010.08.09 -
    TrendMicro 9.120.0.1004 2010.08.09 -
    TrendMicro-HouseCall 9.120.0.1004 2010.08.09 -
    VBA32 3.12.12.8 2010.08.04 -
    ViRobot 2010.8.9.3978 2010.08.09 -
    VirusBuster 5.0.27.0 2010.08.08 -
    Information additionnelle
    File size: 1282048 bytes
    MD5...: a5de9cda5609f7e66ef9d0e6f0fce044
    SHA1..: da9e0b2a4c6277d41d73b32c21dce7140d8fd5ed
    SHA256: 18539e6eb37649c879a9fa87d19d5f9ce294c1cbba28f012bafbf5cf8caf20ac
    ssdeep: 24576:HcfXdEwevB0oRBRhGnGQFiRGP3ST6G8hysS/v1BZjsM:o XdEFvBFhOaRbT
    6QBtsM

    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x8a47c
    timedatestamp.....: 0x4c5ce830 (Sat Aug 07 04:59:28 2010)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0xaf57c 0xaf600 6.69 0a26e779a35a7a18dc8ce042bbf34aec
    .rdata 0xb1000 0x5acbe 0x5ae00 6.10 611cdd4aa54bac348292aa65df7814ad
    .data 0x10c000 0x108f8 0xbc00 3.47 cf6d9cf2df08c5877f1d8d50f2b64e11
    .rsrc 0x11d000 0x22a0c 0x22c00 7.38 ff675761f16663aa1543130bfbe16a76

    ( 12 imports )
    > WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > WINHTTP.dll: WinHttpOpen, WinHttpReadData, WinHttpReceiveResponse, WinHttpCloseHandle, WinHttpOpenRequest, WinHttpConnect, WinHttpCrackUrl, WinHttpSendRequest, WinHttpSetStatusCallback, WinHttpQueryDataAvailable
    > VERSION.dll: VerQueryValueA
    > KERNEL32.dll: FindResourceExA, WideCharToMultiByte, RaiseException, InitializeCriticalSection, DeleteCriticalSection, CloseHandle, WaitForSingleObject, SetEvent, CreateEventA, SetThreadPriority, MultiByteToWideChar, lstrlenW, EnterCriticalSection, LeaveCriticalSection, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrlenA, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, LoadLibraryExA, GetModuleHandleA, GetModuleFileNameA, TerminateProcess, OpenProcess, GetCurrentProcessId, DeleteFileA, SetCurrentDirectoryA, GetCurrentDirectoryA, GetFileAttributesExA, Sleep, FindClose, FindNextFileA, FindFirstFileA, GetWindowsDirectoryA, MoveFileExA, GetFileAttributesA, TryEnterCriticalSection, GetVersionExA, GetCurrentProcess, ResetEvent, HeapFree, GetProcessHeap, FlushInstructionCache, GetCurrentThreadId, SetLastError, lstrcmpA, MulDiv, GlobalUnlock, GlobalLock, GlobalAlloc, SetFilePointer, ReadFile, FlushFileBuffers, GetConsoleMode, GetConsoleCP, SetHandleCount, HeapCreate, GetStdHandle, WriteFile, IsValidCodePage, GetOEMCP, GetCPInfo, GetDateFormatA, GetTimeFormatA, FindResourceA, SetStdHandle, RemoveDirectoryA, GetFileType, PeekNamedPipe, GetTimeZoneInformation, GetStartupInfoA, GetCommandLineA, SetEnvironmentVariableA, GetDriveTypeA, FileTimeToLocalFileTime, FileTimeToSystemTime, VirtualQuery, GetSystemInfo, GetModuleHandleW, VirtualProtect, CreateThread, ExitThread, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, RtlUnwind, GetSystemTimeAsFileTime, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, InterlockedCompareExchange, HeapSize, HeapReAlloc, HeapAlloc, HeapDestroy, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, GlobalFree, CreateFileMappingA, UnmapViewOfFile, MapViewOfFile, FindNextFileW, ResumeThread, TlsFree, TlsAlloc, DuplicateHandle, GetProcessAffinityMask, GetThreadPriority, WaitForMultipleObjects, InterlockedExchangeAdd, TlsSetValue, GetCurrentThread, TlsGetValue, LoadResource, LockResource, SizeofResource, LCMapStringA, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, SetEndOfFile, InitializeCriticalSectionAndSpinCount, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CompareStringA, CompareStringW, CreateFileW, SetThreadContext, GetThreadContext, GetFileInformationByHandle, CreateFileA, MoveFileA, WritePrivateProfileStringA, SetFileAttributesA, GetShortPathNameA, FindFirstFileW, GetFullPathNameA, LoadLibraryA, GetProcAddress, HeapCompact, CreateDirectoryA, ExitProcess
    > USER32.dll: SetTimer, KillTimer, MessageBoxA, SendMessageA, ExitWindowsEx, RegisterWindowMessageA, PostQuitMessage, CharNextA, PostMessageA, CallWindowProcA, LoadMenuA, DestroyMenu, SetMenuDefaultItem, GetMonitorInfoA, MonitorFromPoint, SetForegroundWindow, UnregisterClassA, GetWindowLongA, DefWindowProcA, TrackPopupMenu, GetSubMenu, GetCursorPos, LoadImageA, GetSystemMetrics, CreateWindowExA, SetWindowTextA, MoveWindow, GetWindowRect, GetClientRect, SetFocus, GetParent, IsWindow, GetClassInfoExA, LoadCursorA, ShowWindow, SetWindowLongA, InvalidateRgn, GetWindowTextLengthA, GetWindowTextA, IsWindowEnabled, EnableWindow, CreateAcceleratorTableA, GetFocus, GetWindow, DestroyAcceleratorTable, BeginPaint, EndPaint, FillRect, ReleaseCapture, GetClassNameA, GetDlgItem, IsChild, SetCapture, RedrawWindow, SetLayeredWindowAttributes, InvalidateRect, ReleaseDC, GetDC, ScreenToClient, ClientToScreen, SetWindowPos, GetSysColor, RegisterClassExA, GetDesktopWindow, DestroyWindow, GetMessageA, TranslateMessage, DispatchMessageA
    > GDI32.dll: BitBlt, GetStockObject, GetObjectA, CreateSolidBrush, GetDeviceCaps, DeleteDC, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, DeleteObject
    > ADVAPI32.dll: RegDeleteKeyA, RegQueryValueExA, RegFlushKey, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA
    > SHELL32.dll: ShellExecuteExW, Shell_NotifyIconA
    > ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, CoSetProxyBlanket, CoUninitialize, CoInitialize, CoInitializeSecurity, StringFromGUID2, OleLockRunning, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, OleUninitialize, OleInitialize, CreateStreamOnHGlobal
    > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > IPHLPAPI.DLL: GetNetworkParams
    > SHLWAPI.dll: StrStrA

    ( 0 exports )

    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Windows Screen Saver (51.1%)
    Win32 Executable Generic (33.2%)
    Generic Win/DOS Executable (7.8%)
    DOS Executable Generic (7.8%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:
    publisher....: n/a
    copyright....: Copyright 2010
    product......: Antispyware Soft
    description..: Antispyware Soft
    original name: avsuite.exe
    internal name: avsuite
    file version.: 3, 1, 0, 824
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned


    C:\Users\riade\AppData\Local\nnygngwhv\slshsertssd.exe


    AhnLab-V3 2010.08.09.00 2010.08.09 Trojan/Win32.FraudPack
    AntiVir 8.2.4.34 2010.08.09 -
    Antiy-AVL 2.0.3.7 2010.08.09 -
    Authentium 5.2.0.5 2010.08.09 W32/FakeAlert.HP.gen!Eldorado
    Avast 4.8.1351.0 2010.08.09 Win32:FakeAlert-OE
    Avast5 5.0.332.0 2010.08.09 Win32:FakeAlert-OE
    AVG 9.0.0.851 2010.08.09 Generic18.BHMI
    BitDefender 7.2 2010.08.09 Trojan.Generic.KD.25753
    CAT-QuickHeal 11.00 2010.08.09 Win32.Trojan.FakeSpypro.4
    ClamAV 0.96.0.3-git 2010.08.09 -
    Comodo 5694 2010.08.09 -
    DrWeb 5.0.2.03300 2010.08.09 -
    Emsisoft 5.0.0.36 2010.08.09 Trojan.SuspectCRC!IK
    eSafe 7.0.17.0 2010.08.08 -
    eTrust-Vet 36.1.7777 2010.08.09 -
    F-Prot 4.6.1.107 2010.08.09 W32/FakeAlert.HP.gen!Eldorado
    F-Secure 9.0.15370.0 2010.08.09 Trojan.Generic.KD.25753
    Fortinet 4.1.143.0 2010.08.09 -
    GData 21 2010.08.09 Trojan.Generic.KD.25753
    Ikarus T3.1.1.84.0 2010.08.09 Trojan.SuspectCRC
    Jiangmin 13.0.900 2010.08.07 -
    Kaspersky 7.0.0.125 2010.08.09 -
    McAfee 5.400.0.1158 2010.08.09 Artemis!AA6283D34252
    McAfee-GW-Edition 2010.1 2010.08.09 Artemis!AA6283D34252
    Microsoft 1.6004 2010.08.09 -
    NOD32 5351 2010.08.09 a variant of Win32/Kryptik.FXE
    Norman 6.05.11 2010.08.08 -
    nProtect 2010-08-09.02 2010.08.09 Trojan.Generic.KD.25753
    Panda 10.0.2.7 2010.08.08 Trj/CI.A
    PCTools 7.0.3.5 2010.08.09 -
    Prevx 3.0 2010.08.09 Medium Risk Malware
    Rising 22.60.00.04 2010.08.09 Trojan.Win32.Generic.52251A2A
    Sophos 4.56.0 2010.08.09 Mal/EncPk-RJ
    Sunbelt 6704 2010.08.09 Trojan.Win32.Generic.pak!cobra
    SUPERAntiSpyware 4.40.0.1006 2010.08.09 -
    Symantec 20101.1.1.7 2010.08.09 -
    TheHacker 6.5.2.1.339 2010.08.09 -
    TrendMicro 9.120.0.1004 2010.08.09 -
    TrendMicro-HouseCall 9.120.0.1004 2010.08.09 -
    VBA32 3.12.12.8 2010.08.04 -
    ViRobot 2010.8.9.3978 2010.08.09 -
    VirusBuster 5.0.27.0 2010.08.08 -
    Information additionnelle
    File size: 297728 bytes
    MD5...: aa6283d34252f492a7e42d9b4d973ac8
    SHA1..: 8c7da56f282261164da6e7e7e4fc4befb9d7453d
    SHA256: 8eede816734d58883bd65643f69fc722c703b48a74c9ad4db48c4525125068a7
    ssdeep: 6144:RsNz8WOP6TNYws9i14kRFXz7Zi3LOh0sk3bI/j+ekjHzWUomXfk:Kh3OTia
    kRFd4U0UaviUbfk

    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x128e
    timedatestamp.....: 0x42f24094 (Thu Aug 04 16:21:40 2005)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x35701 0x35800 7.49 0fe984d9686ec7b336289e627a6a5afd
    .rdata 0x37000 0x14c 0x1000 0.56 d36162bd0cb371b06ef08b903f6ea9b2
    .data 0x38000 0xf80b 0xfa00 7.99 b48a9ee09b755fc83e293363690de556
    .rsrc 0x48000 0x21100 0x2400 5.52 ac7e2a23f4dc1c43468584d49e71c70d

    ( 2 imports )
    > netapi32.dll: NetShareGetInfo, NetpwNameCanonicalize, NetReplSetInfo
    > KERNEL32.dll: GetModuleHandleA, ExitProcess, GetCommandLineA, CreateFileA, ReadFile, WriteFile, CloseHandle

    ( 0 exports )

    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Win32 Executable Generic (42.3%)
    Win32 Dynamic Link Library (generic) (37.6%)
    Generic Win/DOS Executable (9.9%)
    DOS Executable Generic (9.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1D299B50...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1D299B50...;/a>
    Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?d...
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned


    C:\Users\riade\AppData\Local\istina.dll


    AhnLab-V3 2010.08.09.00 2010.08.09 -
    AntiVir 8.2.4.34 2010.08.09 TR/Crypt.XPACK.Gen2
    Antiy-AVL 2.0.3.7 2010.08.09 -
    Authentium 5.2.0.5 2010.08.09 W32/Hiloti.I.gen!Eldorado
    Avast 4.8.1351.0 2010.08.09 Win32:Malware-gen
    Avast5 5.0.332.0 2010.08.09 Win32:Malware-gen
    AVG 9.0.0.851 2010.08.09 Agent2.BDQK
    BitDefender 7.2 2010.08.09 Gen:Variant.Hiloti.1
    CAT-QuickHeal 11.00 2010.08.09 -
    ClamAV 0.96.0.3-git 2010.08.09 -
    Comodo 5694 2010.08.09 -
    DrWeb 5.0.2.03300 2010.08.09 -
    Emsisoft 5.0.0.36 2010.08.09 Trojan-Downloader.Win32.Mufanom!IK
    eSafe 7.0.17.0 2010.08.08 -
    eTrust-Vet 36.1.7777 2010.08.09 -
    F-Prot 4.6.1.107 2010.08.09 W32/Hiloti.I.gen!Eldorado
    F-Secure 9.0.15370.0 2010.08.09 Gen:Variant.Hiloti.1
    Fortinet 4.1.143.0 2010.08.09 -
    GData 21 2010.08.09 Gen:Variant.Hiloti.1
    Ikarus T3.1.1.84.0 2010.08.09 Trojan-Downloader.Win32.Mufanom
    Jiangmin 13.0.900 2010.08.07 -
    Kaspersky 7.0.0.125 2010.08.09 -
    McAfee 5.400.0.1158 2010.08.09 Hiloti.gen.e
    McAfee-GW-Edition 2010.1 2010.08.09 -
    Microsoft 1.6004 2010.08.09 -
    NOD32 5351 2010.08.09 a variant of Win32/Cimag.DC
    Norman 6.05.11 None.. -
    nProtect 2010-08-09.02 2010.08.09 Gen:Variant.Hiloti.1
    Panda 10.0.2.7 2010.08.08 Suspicious file
    PCTools 7.0.3.5 2010.08.09 -
    Prevx 3.0 2010.08.09 Medium Risk Malware
    Rising 22.60.00.04 2010.08.09 -
    Sophos 4.56.0 2010.08.09 Mal/Hiloti-D
    Sunbelt 6704 2010.08.09 Trojan.Win32.Hiloti.gen.f (v)
    SUPERAntiSpyware 4.40.0.1006 2010.08.09 -
    Symantec 20101.1.1.7 2010.08.09 -
    TheHacker 6.5.2.1.339 2010.08.09 -
    TrendMicro 9.120.0.1004 2010.08.09 -
    TrendMicro-HouseCall 9.120.0.1004 2010.08.09 -
    VBA32 3.12.12.8 2010.08.04 suspected of Trojan.Win32.Waledac
    ViRobot 2010.8.9.3978 2010.08.09 -
    VirusBuster 5.0.27.0 2010.08.08 Trojan.Hiloti.Gen!Pac
    Information additionnelle
    File size: 84992 bytes
    MD5...: 52fe0c2c65721c27ca39d1700b381914
    SHA1..: f54641b53729e0d5a03430b89370401832c3ec29
    SHA256: 5f669fe0c426276c2cb5e32a3d110a81c727eea570769831aaf8f3987fe16093
    ssdeep: 1536:7UKWUgGgkB9jk8XVNw4Mss6pZSHkLkqLJZEPdnU2GB004S6KpQ4uA7sfxCm
    7mb:XW3wTjTFi4MSpZukLkqLJmtWKnTd5k

    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0xd9fc
    timedatestamp.....: 0x4b7696c9 (Sat Feb 13 12:10:49 2010)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x14000 0x13400 6.58 85f8bf33fa567ce67b101367d3894ed9
    .data 0x15000 0x1000 0x800 5.51 002a34a103583cb714bad678c212b2ce
    .rsrc 0x16000 0x1000 0x400 3.10 f71f74736d0b8e42d250fb26822a2b8a
    .reloc 0x17000 0x1000 0x800 6.08 7b195ec0fa0b4fa3081475031ca7f272

    ( 5 imports )
    > KERNEL32.dll: CloseHandle, CompareStringW, ExitProcess, FatalAppExitA, FreeEnvironmentStringsA, GetACP, GetCommandLineA, GetDriveTypeA, GetModuleHandleA, GetNumberFormatA, GetOEMCP, GetStartupInfoA, GetVersionExA, GlobalLock, HeapAlloc, HeapCreate, HeapReAlloc, InterlockedDecrement, IsBadStringPtrA, MultiByteToWideChar, RtlUnwind, SetFilePointer, SetLastError, SetUnhandledExceptionFilter, TlsFree, UnmapViewOfFile, lstrcpynA, lstrlenA
    > user32.dll: ReleaseDC, OpenClipboard, LoadImageA, IsWindowVisible, ClientToScreen
    > ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoBuildVersion, CoCreateInstance, CreateAntiMoniker
    > advapi32.dll: RegOpenKeyExW, CryptReleaseContext
    > shfolder.dll: SHGetFolderPathW

    ( 0 exports )

    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Win64 Executable Generic (80.9%)
    Win32 Executable Generic (8.0%)
    Win32 Dynamic Link Library (generic) (7.1%)
    Generic Win/DOS Executable (1.8%)
    DOS Executable Generic (1.8%)
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7C05CECA...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7C05CECA...;/a>
    Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?d...
    sigcheck:
    publisher....: CyberLink Corp.
    copyright....: TODO: (c) _Company name_. All rights reserved.
    product......: TODO: _Product name_
    description..: TODO: _File description_
    original name: MUITransfer.dll
    internal name: MUITransfer.dll
    file version.: 1.01.0913
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    9 Août 2010 16:34:54

    re,


    très bien ... on commence .... dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.D3CB59E4143C69E89DA4C52B343D7459] - (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\Temp\wmsdk64_32.exe [425472]
    [MD5.A5DE9CDA5609F7E66EF9D0E6F0FCE044] - (.Pas de propriétaire - Antispyware Soft.) -- C:\Program Files\Antivir Solution Platinum\avsolution.exe [1282048]
    [MD5.DB23F7F2A9D2499ABB2C8D36B49F5102] - (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\Temp\wscsvc32.exe [269312]
    O4 - HKCU\..\Run: [nibvualc] . (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\nnygngwhv\slshsertssd.exe
    O4 - HKCU\..\Run: [Mqibegefi] . (.CyberLink Corp. - TODO: <File description>.) -- C:\Users\riade\AppData\Local\istina.dll
    O4 - HKCU\..\Run: [wmsdk64_32.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\Temp\wmsdk64_32.exe
    O4 - HKCU\..\Run: [SolutionAV] . (.Pas de propriétaire - Antispyware Soft.) -- C:\Program Files\Antivir Solution Platinum\avsolution.exe
    O4 - HKUS\S-1-5-21-4271499943-3185894803-1138488982-1000\..\Run: [nibvualc] . (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\nnygngwhv\slshsertssd.exe
    O4 - HKUS\S-1-5-21-4271499943-3185894803-1138488982-1000\..\Run: [Mqibegefi] . (.CyberLink Corp. - TODO: <File description>.) -- C:\Users\riade\AppData\Local\istina.dll
    O4 - HKUS\S-1-5-21-4271499943-3185894803-1138488982-1000\..\Run: [wmsdk64_32.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\riade\AppData\Local\Temp\wmsdk64_32.exe
    O4 - HKUS\S-1-5-21-4271499943-3185894803-1138488982-1000\..\Run: [SolutionAV] . (.Pas de propriétaire - Antispyware Soft.) -- C:\Program Files\Antivir Solution Platinum\avsolution.exe
    O43 - CFD:Common File Directory ----D- C:\Program Files\Antivir Solution Platinum
    [HKCU\Software\AVSuite]
    [HKCU\Software\AnVi]
    [HKCU\Software\SolutionAV]
    [HKCU\Software\wpyyaxvbft]
    [HKLM\Software\AVSuite]
    [HKLM\Software\SolutionAV]




    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ================================

    2- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ==================================

    3- Refais un scan ZHPDiag 'en tant qu'admin...'.

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS